卡巴斯基安全报告:2017上半年工业自动化系统的威胁景观

前情提要

卡巴斯基实验室工业控制系统网络急救反应小组(Kaspersky Lab ICS CERT)于9月底发布了2017前六个月有关工业自动化系统安全威胁的研究结果。

本报告中的所有统计数据来源于卡巴斯基安全网络收集(KSN),一个分布式的杀毒网络,多有数据的收集都是匿名的,并且征得了KSN用户的同意。这些数据来自于受卡巴斯基实验室安全产品保护的计算机,受保护的工业基础设施包括执行下列一个或几个功能的windows计算机:

  • 数据采集与监控系统(SCADA)服务器

  • 数据存储服务器(Historian)

  • 数据网关(OPC)

  • 工程师和运营商的固定工作站

  • 工程师和运营商的移动工作站

  • 人机界面(HMI)

此外,还包括承包商组织的雇员的计算机和工业控制网络管理员以及工业自动化系统软件开发工程师的计算机。

主要事件

2017上半年,一个不容忽视的事件是美国中央情报局的一个特别单位的档案遭泄露。泄漏的档案中包括了CIA实用的黑客工具的相关信息:恶意软件,包括零日漏洞攻击利用工具、恶意远程访问工具和相关文档。部分档案已经在维基解密网站上被公布。

2017年4月,黑客组织影子经纪人(Shadow Brokers)开始公开从美国国家安全局(NSA)窃取的包含攻击工具及漏洞信息的存档文件。

起先,Shadow Brokers试图出售这些档案,不过后来,大部分都公开了。公开的数据包括针对网络设备和路由器、银行系统、类-UNIX系统和各种版本的Windows系统的漏洞利用,其中还包括一些以前未知的零日漏洞。

2017年6月,ESET 和 Dragos公司的安全专家以及一些独立的研究人员公布了恶意软件CrashOverride/Industroyer的研究结果,得出的结论是,该恶意软件是专门被设计用来破坏工业控制系统(ICS)的操作,尤其是针对变电所,CrashOverride/Industroyer能够直接控制变电站电路的开关和断路器。

Kaspersky Lab ICS CERT安全专家报告了一例典型的企业电子邮件入侵(BEC)的案例,袭击活动是由尼日利亚的黑客发起的,主要针对工业公司以及大型运输和物流公司。分析整个攻击活动发现工业公司占潜在受害者的80%以上,攻击的范围覆盖了50多个国家的超过500家公司。

勒索软件已经成为企业的一个重大威胁,包括工业企业。对于拥有重要基础设施的企业来说,勒索软件所带来的威胁尤甚,因为恶意软件活动会扰乱工业系统流程。

2017年前六个月,在ICS计算机上一共检测到33种不同的勒索软件家族的袭击活动,幸运的是,在这些检测到的恶意样本中,没有发现专门设计用来阻止工业自动化软件的恶意程序。

基于攻击活动中受影响的机器的数量,2017年上半年,WannaCry(中文名“想哭”)排名最高,13.4%的工业基础设施的计算机受到了该加密勒索软件的袭击。

2017年上半年,10大最普遍的加密木马家族

WannaCry的感染可能是由于典型的工业网络配置错误。分析了工业系统被WannaCry感染的所有途径,发现在大多数情况下是通过本地企业局域网和VPN连接感染的。

威胁统计

2017上半年,卡巴斯基实验室产品在全球范围内阻断了针对受其保护的ICS计算机的37.6%的网络攻击,比2016下半年减少了1.6个百分点。

攻击的比例在2016下半年呈现逐月上升的趋势,但2017年上半年的动态有所不同,2017年1月份袭击者的活动有所下降,之后在2月和3月份回升到原来的水平,再然后从4月到6月又逐渐下降,详情如下图所示:

全球范围内ICS计算机所受攻击的百分比(按月,2016年7月至2017年6月)

就用户用例和所使用的技术而言,工业网络越来越类似于企业网络,因此,工业系统的威胁景观也越来越类似于企业网络所面临的威胁景观。

2017上半年,从工业自动化系统中一共检测到大约18000种不同类型的恶意软件程序,它们分属于2500多个不同的恶意软件家族。

在2017上半年,试图从互联网下载恶意软件或访问已知的恶意或钓鱼网络资源的ICS计算机的占比为20.4%。作为工业基础设施的一部分,因特网仍然是主要的感染源。影响因素包括企业网络和工业系统网络之间的接口,有限的可以接入工业网络的互联网接口,以及通过移动电话运营商的网络(使用手机、USB调制解调器和/或支持3G / LTE 的Wi-Fi路由器)使得工业网络计算机连接互联网的接入点。

2017年上半年,ICS计算机主要的威胁源

Windows(win32 / Win 64)可执行文件格式的恶意软件占比超过50%。攻击者更偏向于使用脚本语言在受感染的计算机上实现恶意功能(由已安装到受害计算机上的解释器执行),而不是开发一个可执行文件,下图中展示了恶意软件在Windows可执行文件之外主要使用到的攻击载体的排名:

2017年上半年,恶意软件使用的攻击载体的排名

值得注意的是,攻击者通常使用JavaScript、Visual BasicScript或PowerShell编写小型的loaders,展开,使用对应的命令行参数进行加载。

更多资料

完整报告

 

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/106332.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code